1.Sự cần thiết và hướng Cách khắc phục lỗi phát hiện khi kiểm tra
an toàn hệ quản trị CSDL Microsoft SQL Server.
Cơ sở dữ liệu là gì?
Cơ sở dữ liệu (viết tắt CSDL; tiếng Anh là database) được hiểu theo cách định nghĩa kiểu kĩ
thuật thì nó là một tập hợp thông tin có cấu trúc hay còn được hiểu rõ hơn dưới dạng một tập hợp
liên kết các dữ liệu, thường đủ lớn để lưu trên một thiết bị lưu trữ như đĩa hay băng. Dữ liệu này
được duy trì dưới dạng một tập hợp các tập tin trong hệ điều hành hay được lưu trữ trong các hệ
quản trị cơ sở dữ liệu.
Một số ưu diểm mà CSDL mang lại:
- Giảm sự trùng lặp thông tin xuống mức thấp nhất. Do đó đảm bảo thông tin có tính nhất quán
và toàn vẹn dữ liệu.
- Đảm bảo dữ liệu có thể được truy suất theo nhiều cách khác nhau
- Nhiều người có thể sử dụng một cơ sở dữ liệu
Chức năng của CSDL
Mục đích sử dụng CSDL bao gồm các chức năng lưu trữ (storage ), truy cập (accessibity), tổ
chức (organization) và xử lý (manipulation)
Storage: Lưu trữ dữ liệu trên đĩa và có thể chuyển đổi dữ liệu từ CSDL này sang CSDL khác,
trong thực tế có nhiều loại CSDL đang sử dụng.
Accessibity: Truy cập dữ liệu phụ thuộc vào mục đích sử dụng và yêu cầu của người dụng, ở
mức độ mang tính cục bộ, truy cập dữ liệu ngay trong chính CSDL với nhau nhẳm xử lý dữ liệu
bên trong của chính nó, nhưng do mục đích yêu cầu của người dùng vượt ra ngoài CSDL, nên có
các phương thức cập nhật dữ liệu giữa các CSDL với nhau như: Access với SQL Server, hay
SQL Server với Oracle
Organization: Khi đề cập đến tổ chức CSDL, chúng phụ thuộc vào mô hình cơ sở dữ liệu, điều
này có nghĩa rằng tổ chức CSDL phụ thuộc vào đặc điểm riêng của từng ứng dụng.Tuy nhiên khi
tổ chức CSDL cần tuân theo một số tiêu chuẩn của hệ thống cơ sở dữ liệu, nhằm tăng tính tối ưu
khi truy cập và xử lý.
Manipulation : Trong nhiều trường hợp ta cần tính toán và truy vấn dữ liệu với các mục đích
khác nhau, cần phải sử dụng các truy vấn cùng các phép toán, phát biểu của CSDL để kết xuất ra
kết quả theo yêu cầu của mình.
Những vấn đề mà CSDL cần phải giải quyết.
STT Tên Nghĩa chuẩn/ Viết tắt
1. CSDL Cơ sở dữ liệu
2. Security Bảo mật – an toàn
3. Item Đối tượng
4. Categories Thể loại, hạng mục
5. SRR Security Readiness Review
6. IAO Information Awareness Office
7. DBA Database Administrator
8. MMC Windows Microsoft Management Console
9. MAC Mission Assurance Category
10. SSP System Security Plan
- Kế hoạch bảo mật hệ thống
11. DoD Department of Defense
12. PAL Publication Access List
13. PII personal identifiable information
3.Cách khắc phục cài đặt SQL Server
3.1.Lỗi phiên bản
3.1.1.DG0001: Hỗ trợ các phiên bản hệ thống DBMS
Cách Cách khắc phục :
Bảo vệ cài đặt SQL Server, các lỗi được nâng cấp hỗ trợ cài đặt từ các gói dịch vụ có sẵn .( sau
khi kiểm tra )
VKEY:
V00056
58
Mức độ nghiêm trọng :
CAT1
Chính sách: Tất cả MAC/CONF: 1-
CSP; 2-
CSP; 3-
MAC/CONF: 1-CSP;
2-CSP; 3-
CSP
IA Control: VIVM Kiểu kiểm tra:
Inter
view
Mức độ CSDL:
False
Chịu trách
nhiệm:
IAO
Khả năng tài liệu hóa:
False
Tham chiếu: Database STIG 3.6.1
yêu cầu STIG : (DG0002: CAT II) IAO sẽ đảm bảo cho trang web định dạng một kế hoạch để
gỡ bỏ hoặc update hệ thống DBMS trong 6 tháng trước khi nhà cung
cấp dịch vụ không hỗ trợ.
3.1.3. DG0003: Vá mức bảo mật trong DBMS
Cách Cách khắc phục :
Update các phiên bản mới nhất của SQL Server. Áp dụng cho tất cả các ứng dụng của Microsoft
SQL Server cập nhật quan trọng và HOTFIXes.
VKEY: V0005659 Mức độ nghiêm trọng : CAT2 Chính sách:
Tất cả
MAC/CONF: 1-CSP;
2-CSP; 3-
CSP
IA Control: VIVM Kiểu kiểm tra:
Auto
Mức độ CSDL:
False
False
Tham chiếu: Database STIG 3.3.11.1
yêu cầu STIG : (DG0005: CAT II) SA/DBA sẽ đảm bảo việc quản trị cơ sở dữ liệu các tài
khoản cần thiết cho sự vận hành và bảo trì của hệ thống DBMS được
chỉ định các đặc quyền bởi DBMS cụ thể để thực hiện chức năng tới
DBA.
3.2.2.DG009: Quyền hạn của thư viện phần mềm của DBMS
Cách Cách khắc phục :
Hạn chế quyền truy cập tới các tập tin và thư mục trong SQL Server theo chỉ dẫn trong kiểm tra
sau:
VKEY: V0015608 Mức độ nghiêm trọng : CAT2 Chính sách:
Tất cả
MAC/CONF: 1-CSP;
2-CSP; 3-
CSP
IA Control: DCSL Kiểu kiểm tra:
Manu
al
Mức độ CSDL:
False
Chịu trách
nhiệm:
SA/DB
A
Khả năng tài liệu hóa:
False
Tham chiếu: Database STIG 3.1.10
yêu cầu STIG : (DG0009: CAT II) SA/DBA sẽ đảm bảo quyền truy cập vào DBMS phần
mềm được cho phép hạn chế các account OS.
3.2.3.DG0019: DBMS phần mềm sở hữu
Yêu cầu STIG (DG0019: CAT III) DBA sẽ đảm bảo phần mềm ứng dụng CSDL là thuộc sở hữu
của tài khoản bởi các tài khoản sở hữu ủy quyền ứng dụng
3.2.4.DG0029: Kiểm tra CSDL
Cách Cách khắc phục:
Cho phép các dấu vết được tạo bên trong kiểm tra DG0145
Đối với SQL Server 2000 và 2005
Từ truy vấn nhắc:
EXEC SP_TRACE_SETSTATUS [TraceID], 1
Thay thế [Trace ID] với ID của trace được tạo cho DG145 kiểm tra dấu vết yêu cầu.
VKEY: V0005685 Severity: CAT 2 Policies:Tất cả
Policies
MAC/CONF: 1-
CSP; 2-
CSP; 3-
CSP
IA Điều khiển: ECAR Kiểu kiểm
tra
:A
ut
o
Mức độ
CS
DL:
Fal
se
Mức chịu trách nhiệm:
DBA
Khả năng tài liệu
hóa: False
Tham chiếu Database STIG 3.3.2
thiểu là 1 năm.
3.2.6.DG0031: DBMS kiểm tra các thay đổi tới dữ liệu
Cách Cách khắc phục
Cấu hình CSDL kiểm tra CSDL phải tuân thủ các yêu cầu của ứng dụng. Tài liệu kiểm tra yêu
cầu bên trong kế hoạch bảo mật hệ thống.
VKEY: V0005685 Severity: CAT 2 Policies:Tất cả
Policies
MAC/CONF: 1-
CSP; 2-
CSP; 3-
CSP
IA Điều khiển: ECCD Kiểu kiểm
tra:I
nter
vie
w:
Mức độ
CSD
L:
Fals
e
Mức chịu trách
nhiệm:DBA
Khả năng tài liệu
hóa: False
Tham chiếu Database STIG 3.3.4
Yêu cầu STIG (DG0031: CAT II) DBA sẽ cấu hình kiểm tra truy cập hoặc thay đổi với dữ
liệu phù hợp với yêu cầu ứng dụng trong kế hoạch bảo mật hệ
thống đặc biệt
3.2.7.DG0032: DBMS Kiểm tra hồ sơ truy cập
tài khoản cài đặt phần mềm DBMS.Văn bản cho phép nhân viên và thiết lập trong kế hoạch đảm
bảo an toàn hệ thống .
VKEY: V0002422 Mức độ nghiêm trọng: CAT
2
Chính sách: tất
cả
MAC/CONF: 1-
CSP;2-CSP;3-CSP
Điều khiển IA : ECLP kiểu kiểm
tra:
nter
vie
w
Mức độ
CS
DL
:Fa
lse
Chịu trách
nhiệm:
IAO
Khả năng tài liệu hóa:
False
Tham chiếu: Database STIG 3.3.11.2
STIG yêu cầu: (DG0040: CAT II) Các nhân viên được cấp phép của IAO,AIO sẽ đảm
bảo quyền truy cập đến tài khoản cài đặt phần mềm của DBMS
bị hạn chế
3.2.9.DG0041: Tài khoản cài đặt của DBMS sử dụng đăng nhập
Cách Cách khắc phục:
Phát triển và thực thi một thủ tục đăng nhập cho người dùng phần mềm DBMS cài đặt tài khoản
If a third-party automated tool is not employed, an automated job that reports file information on
the directories and files of interest and compares them to the baseline report for the same will
meet the requirement. File hashes or checksums should be used for comparisons as file dates
may be manipulated by malicious users.
Nếu một công cụ tự động third-party không được dùng, một công việc tự động hóa mà file báo
cáo file thông tin về các thư mục và các files quan tâm và so sánh chúng để báo cáo baseline
tương tượng sẽ đáp ứng yêu cầu.File băm hoặc checksums nên được sử dụng để so sánh như là
ngày đến của file có thể bị thao túng bởi người sử dụng độc hại không.
VKEY: V0002423 Mức độ nghiêm trọng:
CAT 2
Chính sách: tất cả MAC/CONF: 1-
CSP;2-CSP;3-CSP
Điều khiển IA :
ECLP
kiểu kiểm
tra:I
nter
vie
w
Mức độ
CS
DL
:Fa
lse
Chịu trách nhiệm:
IAO
Khả năng tài liệu hóa:
False
Tham chiếu: Database STIG 3.1.10
STIG yêu cầu: (DG0050: CAT II) DBA sẽ đảm bảo phần mềm ứng dụng của CSDL
truy cập vào CSDL
3.2.12.DG0052: Kiểm tra truy cập phần mềm DBMS
Cách Cách khắc phục:
Sửa đổi dấu vết kiểm tra để đảm bảo việc kiểm tra lại bao gồm nhận dạng của ứng dụng đã sử
dụng để truy cập vào DBMS.
VKEY: V0003807 Mức độ nghiêm trọng:
CAT 2
Chính sách: tất cả MAC/CONF: 1-
CSP;2-CSP;3-CSP
Điều khiển IA :
ECLP
kiểu kiểm
tra:
Inte
rvie
w
Mức độ
CS
DL
:Fa
lse
Chịu trách nhiệm:
DBA
Khả năng tài liệu
hóa:False
Tham chiếu: Database STIG 3.3.3
STIG yêu cầu: (DG0052: CAT II) DBA sẽ gồm tên của ứng dụng đã sử dụng để kết nối
đến CSDL trong vết kiểm tra
3.2.13.DG0054: Xem xét kiểm toán việc truy cập phần mềm DBMS
Cách Cách khắc phục:
Sử dụng tài khoản được chỉ định cho người dùng cá nhân ở nới có tính khả thi.Thiết kế các ứng
dụng để cung cấp trách nhiệm cá nhân (log kiểm tra) cho các hành động thực hiện theo một tài
khoản CSDL duy nhất.Thực thi các thủ tục tự động khác của DBMS để cung cấp trách nhiệm cá
nhân.Khi thích hợp,thực hiện đánh giá các thủ tục sử dụng bản ghi đánh giá bằng tay và theo dõi
các ghi chép về tài khoản sử dụng phản đối để đảm bảo thủ tục tiếp theo.
VKEY: V0002424 Mức độ nghiêm trọng:
CAT 3
Chính sách: tất cả MAC/CONF: 1-
CSP;2-CSP;3-CSP
Điều khiển IA : ECLP kiểu kiểm
tr
a:
V
er
if
y
Mức độ
CS
DL
:Fa
lse
Chịu trách nhiệm:
IAO/DBA
Khả năng tài liệu
hóa:True
Tham chiếu: Database STIG 3.2.1
STIG yêu cầu: (DG0060: CAT II) IAO/DBA sẽ đảm bảo các hoạt động dựa vào các
nhận dạng cá nhân để cho một tài khoàn CSDL duy nhất mà
được truy cập bởi nhiều người dùng tác động lên.
3.2.15.DG0063: Quyền lưu trữ của DBMS
Xem xét việc sử dụng một thư mục dịch vụ cho việc xác thực nơi mà DBMS không hỗ trợ chứng
nhận xác thực.
VKEY: V0003810 Mức độ nghiêm trọng : CAT2 Chính sách:
Tất cả
MAC/CONF: 1-CSP;
2-CSP; 3-
CSP
IA Control: IATS Kiểu kiểm tra:
Inter
view
Mức độ CSDL:
False
Chịu trách
nhiệm:
IAO
Khả năng tài liệu hóa:
False
Tham chiếu: Database STIG 3.2.4
yêu cầu STIG : (DG0065: CAT II) các sẽ đảm bảo một DoD PKI lớp 3 hoặc 4 chứng nhận và
phê chuẩn một sự đồng nhất sản phẩm phần cứng được bảo mật
(DoD CAC for DoD employees or contractors) hoặc một NSA-
certified được sử dụng để chứng nhận và xác thực với CSDL
3.2.17.DG0074 : Những tài khoản DBMS không được kích hoạt
Cách Cách khắc phục :
Việc phát triển và thực hiện các thủ tục để giám sát các CSDL cho các tài khoản không còn hoạt
động hoặc hết hạn. Kiểm tra và cho phép nếu có bất cứ tài khoản nào đã hết hạn hoặc đã được
hoạt động trong hơn 30 ngày.
Khi quyền bảo vệ đã hết hoặc bị vô hiệu hóa các tài khoản không hoạt động thì phải áp dụng một
số phương pháp bảo vệ tương tự khác.
Lưu ý: Những tài khoản DBMS sử dụng các chứng thực của Windows hoặc liên kết với các
VKEY: V00015613 Severity: CAT 2 Policies:Tất cả
Policies
MAC/CONF: 1-
CSP; 2-
CSP; 3-
CSP
IA Điều khiển: IAIA Kiểu kiểm
tra
:M
an
ual
Mức độ
CS
DL:
Fal
se
Mức chịu trách nhiệm:
DBA
Khả năng tài liệu
hóa: False
Tham chiếu: Database STIG 3.2.2
Yêu cầu STIG (DG00778: CAT II) DBA sẽ đảm bảo rằng các tài khoản người sử dụng
CSDL được cấu hình để yêu cầu xác thực cá nhận để kết nối đến
các DBMS
3.2.19.DG0080:DBMS ứng dụng người dùng xem lại việc gán đặc quyền
Cách Cách khắc phục
Phát triển, tài liệu và thực thi các thủ tục cho việc xem xét định kì các ứng dụng được gán đặc
quyền người sử dụng CSDL. Bao gồm cá phương pháp để cung cấp bằng chứng về sự xem lại
trong các thu tục để kiểm tra lại các diễn ra theo quy định với thủ tục.
VKEY: V0003821 Severity: CAT 2 Policies:Tất cả
VKEY: V00015615 Severity: CAT 2 Policies:Tất cả
Policies
MAC/CONF: 1-CS;
2-CS; 3-CS
IA Điều khiển: ECLP Kiểu kiểm
tra:
Inte
rvie
w
Mức độ
CS
DL
:
Fal
se
Mức chịu trách nhiệm:
IAO/DBA
Khả năng tài liệu
hóa: False
Tham chiếu: Database STIG 3.3.11.1
Yêu cầu STIG (DG0085 CAT II) Các DBA sẽ đảm bảo rằng đặc quyền quản trị CSDL nhỏ
nhất được gán tới các vai trò quản trị CSDL để thực hiện các chức
năng công việc quản trị.
3.2.21.DG 0086 DBMS giám sát vai trò đặc quyền DBA
Cách Cách khắc phục:
Thiết kế và thực thi các thủ tục cho việc giám sát vai trò gán đặc quyền DBA
VKEY: V00015606 Severity: CAT 2 Policies:Tất cả
Policies
MAC/CONF: 1-
CSP; 2-
kiểu kiểm
tra:I
nter
vie
w
Mức độ
CS
DL
:Fa
lse
Chịu trách nhiệm:
IAO
Khả năng tài liệu
hóa:False
Tham chiếu: Database STIG 3.3.3
STIG yêu cầu: (DG0095: CAT II) IAO sẽ đảm bảo CSDL kiểm soát dữ liệu được xem
xét hàng ngày để phát hiện ra các hành vi đáng ngờ hoặc bất
thường
3.2.23.DG0096: Xem xét chính sách và quy trình của DBMS IA
Cách Cách khắc phục:
Phát triển tài liệu và các chính sách thực thi và các quy trình để xem xét chính sách và quy trình
của DBMS IA trên cơ sở hàng năm hoặc thường xuyên.
VKEY: V0015138 Mức độ nghiêm trọng:
CAT 3
Chính sách: tất cả MAC/CONF: 1-
CSP;2-CSP;3-CSP
Điều khiển IA :
DCAR
kiểu kiểm
tra:
tra:
Inte
rvie
w
Mức độ
CS
DL
:Fa
lse
Chịu trách
nhiệm:
IAO
Khả năng tài liệu
hóa:False
Tham chiếu: Database STIG 3.1.3
STIG yêu cầu: (DG0097: CAT II) IAO sẽ đảm bảo kế hoạch và thủ tục kiểm tra toàn
diện cho các cài đặt, nâng cấp và vá lỗi của CSDL được định
nghĩa và thực hiện trước triển khai trong môi trường sản xuất.
3.2.25.DG0098: DBMS truy cập vào các đối tượng bên ngoài địa phương
Cách Cách khắc phục:
Bao gồm bất cứ đối tượng ứng dụng dữ liệu bên ngoài nào đã định nghĩa trong CSDL mà được
yêu cầu cho ứng dụng có thẩm quyền sử dụng trong tài liệu kiến trúc chức năng của AIS.
Vô hiệu hóa sử dụng hoặc rỡ bỏ bất kỳ định nghĩa cho đối tượng ứng dụng dữ liệu ngoài nào mà
không có thẩm quyền.
VKEY: V0015617 Mức độ nghiêm trọng: CAT
2
Chính sách: tất
cả
MAC/CONF: 1-
CSP;2-CSP;3-CSP
5. Kích chọn Disable Publishing và Distribution
6. Hoàn tất các bước trình bày
Đối với SQL Server 2005:
Từ giao diện SQL Server Management Studio:
1. Mở SQL Server
2. Kích chuột phải lên Replication
3. Kích chọn Disable Publishing và Distribution
4. Hoàn tất các bước trình bày
Sao lưu lại cho an toàn nếu có yêu cầu cho phép và lấy tài liệu.
Đối với SQL Server 7 & 2000:
Từ câu lệnh truy vấn:
EXEC SP_BROWSESNAPSHOTFOLDER
Từ SQL Server Enterprise Manager GUI:
1.Mở SQL Server
2. Mở Replication
3. Mở Publications
4. Cho mỗi publication:
a. Kích chuột phải lên publication
b. Kích chọn tab Snapshot
c. Chọn generate snapshots in the following location
d. Nhập đường dẫn đến một thư mục an toàn mà không phải là chia sẻ Administrative
e. Chọn generate snapshots in the normal snapshot folder
f. Kích chọn Apply
g. Kích chọn OK
xác minh sự an toàn CSDL nhà phân phối.
Cho SQL Server Enterprise Manager GUI:
1. Select Tools from menu bar
2. Select Replication
3. Select Configure Publishing, Subscribers, and Distribution
4. Select subscribers tab
Tham chiếu: Database STIG 3.1.4.1
yêu cầu STIG : (DG0100: CAT II) các DBA sẽ đảm bảo các tài khoản CSDL được sử dụng để
nhân rộng hoặc phân phối các giao dịch không được cấp đặc quyền
DBA.
3.2.27.DG 0101 : DBMS kê khai thủ tục bên ngoài hệ điều hành
Cách Cách khắc phục:
Tạo một tài khoản riêng cho dịch vụ Sql Server. Một tên miền tài khoản có thể được dùng tài
nguyên mạng, nơi được yêu cầu. Xin xem SQL Server Books Online để biết thông tin chi tiết.
Gán các tài khoản vào nhóm Sql Server ( được tạo ra khi cài đặt Sql Server 2005) nếu có.
Gán các tài khoản Sql Server hoặc nhóm các quyền của người sử dụng được liệt kê trong thủ tục
kiểm tra.
VKEY: V0015620 Mức độ nghiêm trọng : CAT2 Chính sách:
Tất cả
MAC/CONF: 1-CSP;
2-CSP; 3-
CSP
IA Control: DCFA Kiểu kiểm tra:
Manu
al
Mức độ CSDL:
False
Chịu trách
nhiệm:
SA /
DBA
Khả năng tài liệu hóa:
False
Tham chiếu: Database STIG 3.1.4.1
yêu cầu STIG : (DG0101: CAT II) các DBA sẽ đảm bảo các tài khoản được sử dụng để thực
hiện các thủ tục CSDL bên ngoài có các đặc quyền của hệ điều hành
Cách Cách khắc phục:
Tài liệu IAO cho phép gán vai trò đặc quyền trong kế hoạch bảo mật hệ thống. Hủy bỏ tập tin
không được phép. Nếu BUILTIN\Adminstrators là một bộ phận của SYSADMIN cố định vai trò
máy chủ, tạo một nhóm khách hàng, thêm một nhóm tới SYSADMIN cố định vai trò máy chủ,
gỡ bỏ BUILTIN\Administrators từ vai trò này. Nếu người dùng trái phép khác còn tồn tại, loại
bỏ chúng từ vai trò này.
Để gỡ bỏ BUILTIN\Administrators từ SYSADMIN cố định vai trò máy chủ.
1. Tạo một nhóm cho các chức năng SYSADMIN
2. Thêm người sửa dụng được ủy quyền cho nhóm người dùng
3. Thêm nhóm tới SYSADMIN cố định vai trò máy chủ
4. Gỡ bỏ BUILTIN\Administrators từ vai trò.
VKEY: V00015625 Severity: CAT 2 Policies:Tất cả
Policies
MAC/CONF: 1-
CSP; 2-
CSP; 3-
CSP
IA Điều khiển: ECLP Kiểu kiểm
tra
:V
eri
fy
CSDL
Mức độ:False
Mức chịu trách nhiệm:
IAO
Khả năng tài liệu
hóa: True
Tham chiếu: Database STIG 3.3.11.2
Yêu cầu STIG (DG0116: CAT II) IAO sẽ đảm bảo gán vai trò ủy quyền CSDL trong việc
Yêu cầu STIG (DG0117: CAT II) IAO sẽ đảm bảo tất cả quyền quản trị CSDL được định
nghĩa bên trong và bên ngoài DBMS tới CSDL được gán sử dụng
DBMS hoặc các vai trò OS.
3.2.31.DG0118: IAM xem xét các thay đổi trong việc cấp quyền của DBA
Cách Cách khắc phục:
Phát triển, tài liệu và thực thi chính sách và thủ tục để giám sát các thay đổi vai trò cấp quyền của
DBA.
Phát triển, tài liệu và thực thi chính sách và thủ tục để thông báo cho IAM các thay đổi vai trò
cấp quyền của DBA.
Bao gồm các phương thức trong các thủ tục để cung cấp bằng chứng về giám sát và thông báo
VKEY: V0015127 Mức độ nghiêm trọng : CAT2 Chính sách:
Tất cả
MAC/CONF: 1-CSP;
2-CSP; 3-CSP
IA Control: ECPA Kiểu kiểm tra:
Manua
l
Mức độ CSDL:
False
Chịu trách nhiệm:
IAO
Khả năng tài liệu hóa:
False
Tham chiếu: Database STIG 3.3.14
Yêu cầu STIG : (DG0118: CAT II): IAM sẽ xem lại vai trò cấp quyền của DBA tới các thay đổi
xảy ra khi cấp quyền.
3.2.32.DG0123: Quản trị truy cập dữ liệu DBMS
Cách Cách khắc phục:
Copyright: Tài liệu đại học ©